Aufbau/Umbau Heimnetzwerk

[quotengrote]

...ist eingebaut: unter IP -> cloud nachgucken.

DynDNS zu anderen Anbietern geht nur über Script, sehe ich das richtig?
Habs hiermit mal probiert, aber da ich den CHR momentan im Doppel-NAT habe...

Mikrotik Routerboard: DDNS-Update per Script - indiBit.de

Das Update von dynamischem DNS (DDNS) ist bei Mikrotik's Routerboard nur mit einem Script möglich, das man sich jedoch leicht selber anpassen kann.

indibit.de

 

[hominidae]

Ja, das ist richtig.
Wenn es nicht funktioniert, mal überprüfen mit welcher R.OS Version die gebaut sind...es gibt Unterschiede zwischen V3.x, 4x, 5x und 6.x.
Eigentlich ist es immer ähnlich....die Parameter in Variablen definieren und daraus eine Update-URL zusammenbauen, die mittels "fetch" via http(s) aufgerufen wird.
Wenn das Script funktioniert, dann mit einem Schedule regelmässig laufen lassen.
Bei manchen Anbietern gibt es aber zB auch Beschränkungen (zB updates/Tag)...dann muss man den Status zwischenspeichern und entscheiden, ob das Update notwendig ist (IP geändert?).

Doppel-NAT sollte eigentlich kein Problem sein, da der externe Service eh nur die IP am I-Net sieht.
Ob dann die Portfreigaben funktionieren für die spätere Nutzung der "gefundenen" IP, ist davon unabhängig/ein anderes Problem.
Wenn Du weisst, das dein WAN im CHR schon genat-ed ist, warum NAT dort nutzen? Anders als zB bei einer Fritz kannst Du es ja tatsächlich mit einem Click ausschalten.
Allerdings müssen alle auf der WAN Seite des CHR (Die Heimnetz-Seite Deines I-Net-Router) dann auch die Netze auf dessen LAN-Seite kennen und zumindest die CHR-WAN-IP als Gateway dafür eingetragen haben....das geht auch bei einer Fritz, zumindest bei den Boxen, die nicht mit Provider-Firmware laufen, siehe zB:
https://avm.de/service/fritzbox/fri...1_Statische-IP-Route-in-FRITZ-Box-einrichten/

Ich nutze kein DDNS, da ich für remote-Zugriffe zerotier am Start habe...das ist ein Client, der zum zentralen SDN verbindet und daher kein DDNS und Portfreigaben braucht.

 

[quotengrote]

Wenn Du weisst, das dein WAN im CHR schon genat-ed ist, warum NAT dort nutzen?

Da ist nur jetzt zum testen mit dem CHR, so lange ich noch kein Gerät hier vor Ort habe zum testen.
Später hängt der Router direkt hinter dem Modem per PPPoE.

 

[quotengrote]

Eigentlich ist es immer ähnlich....die Parameter in Variablen definieren und daraus eine Update-URL zusammenbauen, die mittels "fetch" via http(s) aufgerufen wird.
Wenn das Script funktioniert, dann mit einem Schedule regelmässig laufen lassen.

Ich glaub die noch faulere Lösung ist es einfach die Domain per CNAME auf die Mikrotik-Domain zeigen zu lassen.

 

[hominidae]

...nur wenn der DDNS Service von MT für die Abfrage stabil/verfügbar genug ist ;-)
Aber wie gesagt, dazu hab ich keine Erfahrung.

 

[quotengrote]

Ich überlege grad doch die CSS610 durch den CRS326-24G-2S+IN zu ersetzen da die ROS haben und nicht nur SwOS. Wenn ich mir die STH Reviews angucke(leider nur die Rack-Version) hat der CRS326 keine Lüfter, stimmt das?

 

[underclocker2k4]

CRS326-24G-2S+IN | MikroTik

24 Gigabit ports, 2 SFP+ cages and a desktop case – server room power for your home!

mikrotik.com

Dort in den SPECs und dann Powering.
Dann kannste dir die Frage selber beantworten.

 

[quotengrote]

CRS326-24G-2S+IN | MikroTik

24 Gigabit ports, 2 SFP+ cages and a desktop case – server room power for your home!

mikrotik.com

Dort in den SPECs und dann Powering.
Dann kannste dir die Frage selber beantworten.

Ah ja, lesen müsste man können...

 

[hominidae]

...ich habe gerade in meinen CRS326...-RM doch noch einen Lüfter eingebaut. Benötigt wird er nicht, aber bei 78C war mir das zu viel.

 

[quotengrote]

hm, das würde ich gerne vermeiden, der soll direkt unter dem Schreibtisch hängen...

 

[hominidae]

ist, wie gesagt nicht nötig, aber meiner ist im kleinen Rack...da waren es halt gleich 8C mehr als auf dem Tisch.
Wenn Du SFP+ auf Basis Glasfaler einsetzt wird das OK sein.

 

[quotengrote]

So, nach langer Zeit komme ich endlich mal wieder dazu mich um das Netzwerk zu kümmern, derzeit läuft das ganze mit einer FritzBox und 2 unmanaged Switchen.
WLAN Abdeckung vom Wohnzimmer aus geht so, aber besser wäre ein AP im Flur.

Unten habe ich einmal die aktuelle Planung aufgezeichnet.

Die drei ProxMox-Server(pve2) sollen mit 10GE(pve2(DAC)) bzw. 5GE(pve3/4(Kupfer)) an den Switch1 angeschlossen werden.
PVE3/4 sind HP G800 G2, deswegen nehme ich da USB-Adapter für 2.5G Ethernet.
Die Kupfer Verbindung zwischen Abstellkammer und Arbeitszimmer liegt und muss auch bleiben, sind aber nur etwa 17m.

Als Modem wollte ich den Vigor 130 nehmen, aber der scheint kaum noch neu zu bekommen zu sein.


Frage ist wie mache ich das mit den VLANs, wie teile ich die am besten auf?
Ich hatte mir gedacht:
VLAN100: 192.168.1.0/24 - IoT - DNS: Intern - Internet: ausgewählte - Zugriff auf interne Geräte: nein
VLAN200: 192.168.2.0/24 - Intern - DNS: Intern - Internet: ja - Zugriff auf interne Geräte: ja
VLAN300: 192.168.3.0/24 - Extern/Gäste - DNS: Extern - Internet: ja - Zugriff auf interne Geräte: nein

Für die Clients ist denke ich alles logisch, die kriegen jeweils Access-Ports getagged mit Ihrem VLAN, für den AP müsste ein Trunk werden da die beiden WLANs jeweils einem VLAN zugeordnet sind.
Zwischen Switch1 und 2, und Switch und Router müssten es jeweils auch Trunk-Ports sein.
Aber wie ist das mit den ProxMoxen, die haben ja logischerweise VMs, müssen die dann auch trunk-Ports sein?

Was ich auch noch nicht ganz verstanden habe ist wie die VLANs dann miteinandern kommunizieren, eigentlich müsste der ganze Inter-VLAN-Verkehr über den Router gehen der in jedem Netz- und VLAN-Bereich eine IP hat. Stimmt das so?

Ich versuche mal demnächst auf nem hEX die selbe Konfig zu erstellen.


## Kostenaufstellung:
### Geräte
1x 162,90 - MikroTik RouterBOARD RB4011iGS+RM
1x 219,90 - MikroTik Cloud Router Switch - CRS309-1G-8S+IN - https://www.servethehome.com/mikrotik-crs309-1g-8sin-review-inexpensive-8x-10gbe-switch/
1x 59,90 - MikroTik RouterBOARD cAP ac


### Kabel
2x 56,91 - MikroTik SFP 10/100/1000M/10 Gbps Kupfer Module,S+RJ10, RJ45 Anschluss - pve3/4 zu Switch1
1x 38,08 - Generisch Kompatibles 10G SFP+ Aktives Optisches Kabel (AOC), 1m (3ft) - Router zu Switch1 - https://www.fs.com/de/products/74606.html?attribute=1510&id=196552
2x 21,00 - SFP Transceiver Modul - Cisco GLC-T kompatibel 1000BASE-T SFP Kupfer RJ-45 100m - pve2-ipmi zu switch & switch1 zu switch2 - https://www.fs.com/de/products/11773.html
1x 13,00 - FS for 3m (10ft) Mellanox MC3309130-003 Compatible, 10G SFP+ Passive Direct Attach Copper Twinax Cable - pve2 zu switch 1

## Metzwerkkarten
1x 67,90 - Mellanox ConnectX-3 PCIe x4 NIC 10 Gigabit 10GBe SFP+ CX311A Server Adapter - pve2 - https://www.ebay.de/itm/Mellanox-Co...122476&hash=item1ecbb23de4:g:TvsAAOSwfkxZb08L
2x 35,10 - DIGITUS USB Type-C Gigabit Ethernet Adapter 2.5G, DN-3025 - pve3/4 - https://www.amazon.de/dp/B07TT871Y3...1&linkCode=ogi&th=1&psc=1&smid=A3JWKAKR8XB7XF

 

[hominidae]

Frage ist wie mache ich das mit den VLANs, wie teile ich die am besten auf?
Ich hatte mir gedacht:
VLAN100: 192.168.1.0/24 - Clients - DNS: Intern - Internet: ja - Zugriff auf interne Geräte: ja
VLAN200: 192.168.2.0/24 - Server - DNS: Intern - Internet: ja - Zugriff auf interne Geräte: ja
VLAN300: 192.168.3.0/24 - Extern/Gäste - DNS: Extern - Internet: ja - Zugriff auf interne Geräte: nein

Bedenke, dass der Traffic zwischen Client und Server, weil unterschiedliche IP-Segmente immer durch den RB4011 und den 10G-Link müssen.
Der schafft aber "nur" 7Gbps
Der Switch-Chip im RB4011 hat keine Hardware VLAN-Table.
Das ist OK für Clients, die max. 1G- oder WLAN-Links haben...für andere kann es je nach Anzahl und Performance ein Flaschenhals sein.

Warum willst Du Clients und Server trennen, wenn die eh miteinander kommunizieren müssen...wen willst Du mit welchen regeln "ausperren/zulassen"?
Ich würde ein VLAN fürs Heimnetz machen....für Clients und Server.
Eher noch ein VLAN für SmartHome usw...
Ebenso eines für eine "DMZ", also Server / Services mit Zugriff übers I-Net.
Gast-VLAN ist klar.

Für die Clients ist denke ich alles logisch, die kriegen jeweils Access-Ports getagged mit Ihrem VLAN, für den AP müsste ein Trunk werden da die beiden WLANs jeweils einem VLAN zugeordnet sind.
Zwischen Switch1 und 2, und Switch und Router müssten es jeweils auch Trunk-Ports sein.
Aber wie ist das mit den ProxMoxen, die haben ja logischerweise VMs, müssen die dann auch trunk-Ports sein?

Ja...

Was ich auch noch nicht ganz verstanden habe ist wie die VLANs dann miteinandern kommunizieren, eigentlich müsste der ganze Inter-VLAN-Verkehr über den Router gehen der in jedem Netz- und VLAN-Bereich eine IP hat. Stimmt das so?

Ich versuche mal demnächst auf nem hEX die selbe Konfig zu erstellen.

Ja, siehe oben. Bendenke das der Hex nur 1Gbps aber Hardware-Offloading für VLANs kann.
Performance kannst Du mit dem Setup also nicht vergleichen, aber das Setup natürlich grundsätzlich herstellen

## Kostenaufstellung:
### Geräte
1x 162,90 - MikroTik RouterBOARD RB4011iGS+RM
1x 219,90 - MikroTik Cloud Router Switch - CRS309-1G-8S+IN - https://www.servethehome.com/mikrotik-crs309-1g-8sin-review-inexpensive-8x-10gbe-switch/
1x 59,90 - MikroTik RouterBOARD cAP ac

Was ist denn der 2te Switch nochmal?
Bedenke, das das Standard-NT des RB4011 nur 24V hat...ob du den cAP-ac also über den POE-Out des RB4011 stabil versorgen kannst, könnte knapp werden, obwohl der cAP-ac bei mir auch mit 12V/2A am eigenen passiven Injektor stabil lief.

### Kabel
1x 25,89 - MikroTik SFP 10/100/1000M Kupfer Module, S-RJ01, RJ45 Anschluss - pve2-ipmi zu switch

für 1Gbps gibt es günstigere in der Bucht, bei fs.com oder Amazonien
Cisco kodierte sollten eigentlich immer gehen....warum nicht sogar gebraucht kaufen?

2x 56,91 - MikroTik SFP 10/100/1000M/10 Gbps Kupfer Module,S+RJ10, RJ45 Anschluss - pve3/4 zu Switch

Für den Preis sind die voll i.O....bedenke, dass Du in den CRS309, weil ohne Lüfter, keine 2 Stück nebeneinander stecken solltest...die werden sehr warm.

1x 25,89 - MikroTik XS+DA0001 - SFP/SFP+/SFP28 DAC Kabel, 1m - Router zu Switch

Der RB4011 kann laut Handbuch kein DAC...es braucht ein AOC...ich habe eines von fs.com genommen: https://www.fs.com/de/products/74606.html?attribute=1510&id=196552

2x 45,90 - Raidsonic IB-LAN300-C3 - pve3/4 zu Switch

...habe ich keine Erfahrung mit. Im Zweifel musst Du den Speed im SFP+ Modul forcieren und hoffen, dass es klappt

1x 50,00 - MCX311A-XCAT + 3m DAC - pve2 zu switch

Da sind meist Cisco kodierte DACs dabei...wird im MT funktionieren....laufen bei mir einwandfrei am CRS326 und CSS610.

 

[quotengrote]

Bedenke, dass der Traffic zwischen Client und Server, weil unterschiedliche IP-Segmente immer durch den RB4011 und den 10G-Link müssen.
Der schafft aber "nur" 7Gbps
Der Switch-Chip im RB4011 hat keine Hardware VLAN-Table.
Das ist OK für Clients, die max. 1G- oder WLAN-Links haben...für andere kann es je nach Anzahl und Performance ein Flaschenhals sein.

Gut zu wissen, aber stimmt, wie du unten sagst macht es wenig Sinn Clients und Server in unterschiedliche VLANs zu packen, damit ist das Limit egal, da alles andere bis auf die 3x Server eh bei 1GE bleibt.

Warum willst Du Clients und Server trennen, wenn die eh miteinander kommunizieren müssen...wen willst Du mit welchen regeln "ausperren/zulassen"?
Ich würde ein VLAN fürs Heimnetz machen....für Clients und Server.
Eher noch ein VLAN für SmartHome usw...
Ebenso eines für eine "DMZ", also Server / Services mit Zugriff übers I-Net.
Gast-VLAN ist klar.

Stimmt, dann reicht erstmal Gast, Intern, IoT. DMZ würde ich erstmal sein lassen und mit Portweiterleitung arbeiten.

Ja...

Muss da noch etwas besonderes gemacht werden, außer Bridge "vlan aware" da auf der selben Bridge auch das MGMT-Interface hängt?

Ja, siehe oben. Bendenke das der Hex nur 1Gbps aber Hardware-Offloading für VLANs kann.
Performance kannst Du mit dem Setup also nicht vergleichen, aber das Setup natürlich grundsätzlich herstellen

Genau, ist nur um die Konfig mal zu erstellen.

Was ist denn der 2te Switch nochmal?

Der steht noch nicht fest... wobei der nichts besonderes sein muss.

Bedenke, das das Standard-NT des RB4011 nur 24V hat...ob du den cAP-ac also über den POE-Out des RB4011 stabil versorgen kannst, könnte knapp werden, obwohl der cAP-ac bei mir auch mit 12V/2A am eigenen passiven Injektor stabil lief.

Würde ich testen, sonst häng ich nen Injector zwischen.

für 1Gbps gibt es günstigere in der Bucht, bei fs.com oder Amazonien
Cisco kodierte sollten eigentlich immer gehen....warum nicht sogar gebraucht kaufen?

Gute Idee.

Für den Preis sind die voll i.O....bedenke, dass Du in den CRS309, weil ohne Lüfter, keine 2 Stück nebeneinander stecken solltest...die werden sehr warm.

Ja, bekannt.

Der RB4011 kann laut Handbuch kein DAC...es braucht ein AOC...ich habe eines von fs.com genommen: https://www.fs.com/de/products/74606.html?attribute=1510&id=196552

Check, danke.

...habe ich keine Erfahrung mit. Im Zweifel musst Du den Speed im SFP+ Modul forcieren und hoffen, dass es klappt

Laut STH-Foren Beitrag sollte das gehen.

Da sind meist Cisco kodierte DACs dabei...wird im MT funktionieren....laufen bei mir einwandfrei am CRS326 und CSS610.

Grafik + Technik passe ich oben im Post an.

Danke

 

[hominidae]

Gut zu wissen, aber stimmt, wie du unten sagst macht es wenig Sinn Clients und Server in unterschiedliche VLANs zu packen, damit ist das Limit egal, da alles andere bis auf die 3x Server eh bei 1GE bleibt.
Stimmt, dann reicht erstmal Gast, Intern, IoT. DMZ würde ich erstmal sein lassen und mit Portweiterleitung arbeiten.

...das IoT VLAn kann bei mir I-Net Zugriff...aber kann nicht ins Heimnetz...dafür kann man natürlich vom Heimnetz ind IoT-Netz.

Muss da noch etwas besonderes gemacht werden, außer Bridge "vlan aware" da auf der selben Bridge auch das MGMT-Interface hängt?

Sorry, nutze proxmaox nicht.
Ich gehe davon aus, dass entweder die VM selbst das Tagging macht oder eben im vSwitch eine PVID am Port zur VM gesetzt ist, die das übernimmt.
So wie bei einem normalen Switch auch.

Der steht noch nicht fest... wobei der nichts besonderes sein muss.

...einen SFP+ braucht er schon ;-)

Würde ich testen, sonst häng ich nen Injector zwischen.

Ich denke es ist kein Problem, solange nicht noch jemand am 2ten Port des cAP-ac am POE nuckelt.

Check, danke.

Statt AOC am RB4011 gehen latürnich auch 2 LWL Transceiver und ein LWL-Patchkabel.
Vielleicht sogar die flexiblere Lösung und nicht teurer

Danke

...viel Erfolg!

Beitrag automatisch zusammengeführt: 18.04.2021

### Kabel
1x 17,00 - SFP Transceiver Modul - Cisco GLC-TA kompatibel 10/100/1000BASE-T SFP SGMII Kupfer RJ-45 100m - pve2-ipmi zu switch - https://www.fs.com/de/products/34976.html

...ob die SGMII Variante funktioniert bin ich überfragt.

 

[quotengrote]

...das IoT VLAn kann bei mir I-Net Zugriff...aber kann nicht ins Heimnetz...dafür kann man natürlich vom Heimnetz ind IoT-Netz.

Joa, das probier ich mir dann aus.

...einen SFP+ braucht er schon ;-)

Hmm, eigentlich nicht, 10GE brauch ich nur zwischen den Servern, die ganzen Rechner im Arbeitszimmer sind eh per USB-C-Dock und dann 1GE angeschlossen.
Könnte also eigentlich auch den hEX dafür nehmen, wär das ne Idee?

 

[hominidae]

Hmm, eigentlich nicht, 10GE brauch ich nur zwischen den Servern, die ganzen Rechner im Arbeitszimmer sind eh per USB-C-Dock und dann 1GE angeschlossen.
Könnte also eigentlich auch den hEX dafür nehmen, wär das ne Idee?

...wenn Du den schon hast und die Ports ausreichen...einfach per Quick-Setup in den Bridge-Mode setzen...dann ist es ein Switch ;-)

 

[quotengrote]

Muss ich auf dem RB4011 eigentlich noch irgendetwas mit Routing machen?(z.B. RIP) oder routet er "automatisch" da er in jedem Netz eine IP hat?

 

[hominidae]

nein, das brauchst Du nur für entfernte Netze, die zB über ein Transfernetz gehen. Lokale Netze routet er "von allein", wenn die Forward Rules in der Firewall passen.
Normal, am einfachsten ist, die VLANs in die Interface Liste mit aufzunehmen, die alle LANs enthält (Achtung diese Liste aber nicht für die input Rule verwenden, wenn man vom VLAN nicht aufs RouterOS soll).
Besonderheiten/Ausnahmen dann eben mit einer extra Rule davor catchen und zB ein DROP machen (GUEST, ....).
Diese Interface Listen sind Dein Freund ;-) so kannst Du die Standard Firewall beibehalten.

 

[quotengrote]

Ah ok, danke, also exakt das selbe wie ohne VLANs.